Tak ono celkem staci ty parametry pouzit skutecne jako parametry a ne z nich trapne skladat nejaky sql prikaz - nevim jestli to podporuje php, ale normalni jazyky to maji celkem standardne. Pak ten kod vypada (v ilustracnim pseudo jazyku :-)) treba takhle:
query.sql.text = "update users set name = :name where id = nejakeJehoId";
query.params["name"] = coMiZadalUzivatel;
query.execute;
pak je mi uplne jedno, jestli jako jmeno uzivatel zadal "'I AM BIG HACKER; delete from users" nebo cokoliv jineho, protoze se tim akorat nastavi to pole v db, ale neprovede se to jako vlastni sql prikaz. Takhle se daji jednoduse i ukladat binarni data